Часто задаваемые вопросы о Центре идентификации AWS IAM

Поддержка источников удостоверений и приложений

После включения Центра идентификации IAM все существующие роли или пользователи IAM будут продолжать работать «как есть». Это означает, что вы можете перейти в Центр идентификации IAM поэтапно, не нарушая существующий доступ к AWS.

Центр идентификации IAM предоставляет новые роли для использования в ваших аккаунтах AWS. К новым ролям, используемым в Центре идентификации IAM, можно присоединить те же политики, что и к существующим ролям IAM.

Центр идентификации IAM не создает пользователей и группы IAM. Он имеет собственное специализированное хранилище идентификаций для хранения информации о пользователях. При использовании внешнего поставщика идентификации Центр хранит синхронизированную копию атрибутов пользователей и сведений о членстве в группах без материалов для аутентификации, таких как пароли или устройства MFA. Ваш внешний поставщик идентификации остается источником достоверной информации и атрибутов пользователей.

Да. Если вы используете Okta Universal Directory, Microsoft Entra ID (ранее Azure AD), OneLogin или PingFederate, можно применять SCIM для автоматической синхронизации информации о пользователях и группах между поставщиком удостоверений и Центром идентификации IAM. Подробнее см. в руководстве пользователя Центра идентификации IAM.

Вы можете подключить IAM Identity Center к корпоративному каталогу Active Directory (AD) или AWS Managed Microsoft AD с помощью сервиса каталогов AWS. Подробнее см. в руководстве пользователя Центра идентификации IAM.

Для подключения локальной версии Active Directory к IAM Identity Center существует два варианта: (1) использовать AD Connector или (2) использовать доверенный канал AWS Managed Microsoft AD. AD Connector просто подключает существующий локальный каталог Active Directory к AWS. AD Connector – это шлюз, с помощью которого вы можете перенаправить запросы к каталогу в локальное развертывание Microsoft Active Directory без кэширования информации в облаке. Подробнее о подключении локального каталога с помощью AD Connector вы можете узнать в Руководстве администратора по сервису каталогов AWS. AWS Managed Microsoft AD упрощает настройку и запуск Microsoft Active Directory на платформе AWS. Ее можно использовать для настройки леса доверенных каналов между локальным каталогом и AWS Managed Microsoft AD. Подробнее о настройках доверенных каналов можно см. в руководстве администратора по сервису каталогов AWS.

Amazon Cognito – это сервис, который помогает в управлении удостоверениями для взаимодействующих с клиентом приложений. Он не поддерживается в Центре идентификации IAM как источник удостоверений. Вы можете создавать пользовательские удостоверения и управлять ими через Центр идентификации IAM или внешний источник удостоверений, например Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (ранее Azure AD), или другого поддерживаемого поставщика удостоверений.

Да, вы можете использовать IAM Identity Center для контроля доступа к Консоли управления AWS и CLI версии 2. IAM Identity Center позволяет пользователям использовать CLI и Консоли управления AWS с поддержкой единого входа. Приложение AWS Mobile Console также интегрируется с IAM Identity Center, поэтому вы можете одинаково входить в систему через браузер, мобильные устройства и интерфейсы командной строки.

К IAM Identity Center можно подключить указанные ниже приложения.

Интегрированные приложения Центра идентификации IAM. Интегрированные приложения Центра идентификации IAM, такие как SageMaker Studio или IoT SiteWise, используют Центр идентификации IAM для аутентификации и работы с удостоверениями, которые имеются в Центре идентификации IAM. Для синхронизации удостоверений в этих приложениях или отдельной настройки федерации не нужны дополнительные настройки.

Интегрированные приложения, поддерживающие SAML. IAM Identity Center имеет встроенную интеграцию для распространенных бизнес-приложений. Полный список см. в консоли IAM Identity Center.

Специальные приложения, поддерживающие SAML. IAM Identity Center поддерживает приложения, использующие федерацию удостоверений по стандарту SAML 2.0. Вы можете включить в IAM Identity Center поддержку этих приложений с помощью мастера пользовательских приложений.

Доступ к аккаунтам AWS через Single Sign-On

К Центру идентификации IAM можно подключить любые аккаунты AWS, управляемые с помощью сервиса Организации AWS. Для работы с единым входом для аккаунтов, необходимо включить все функции в организациях.

Можно выбрать нужные аккаунты внутри организации или отфильтровать их по OU.

Предоставление доверенных идентификационных данных основано на платформе авторизации OAuth 2.0, которая позволяет приложениям получать доступ к данным и другим ресурсам от имени конкретного пользователя без предоставления его учетных данных. Эта функция Центра идентификации IAM упрощает управление доступом к данным для пользователей и аудит, а также повышает удобство входа в систему для пользователей аналитики в нескольких аналитических приложениях AWS.

Администраторы ресурсов и баз данных могут определять доступ к своим источникам на уровне пользователей и групп. Аудиторы могут анализировать действия пользователей во взаимосвязанных приложениях бизнес-аналитики и анализа данных. Пользователи приложений бизнес-аналитики могут пройти аутентификацию один раз для доступа к источникам данных AWS. Предоставление доверенных идентификационных данных помогает клиентам соблюдать требования к доступу к данным с наименьшими привилегиями в аналитических рабочих процессах, охватывающих несколько приложений и сервисов AWS, таких как Amazon Redshift, Amazon S3, Amazon Quicksight, Amazon Athena и AWS LakeFormation. 

Основное применение предоставления доверенных данных заключается в том, чтобы приложения бизнес-аналитики (BI) могли запрашивать у аналитических сервисов AWS, таких как Amazon Redshift или Amazon Quicksight, данные, необходимые бизнес-пользователям при входе в систему одного пользователя (сохраняя при этом информацию о его личности) через существующего поставщика идентификационных данных клиента. Эта возможность поддерживает различные типы часто используемых приложений бизнес-аналитики и применяет различные механизмы для распространения идентификационных данных пользователя между сервисами.

При предоставлении доступа можно ограничить разрешения пользователей, выбрав набор разрешений. Набор разрешений – это группа разрешений, которую можно создать в IAM Identity Center по образцу политик для должностных обязанностей, управляемых AWS, или любых других управляемых политик AWS. Управляемые политики AWS для должностных обязанностей предназначены для максимального соответствия распространенным должностным обязанностям в ИТ-отрасли. При необходимости можно полностью перенастроить набор разрешений, чтобы соответствовать требованиям безопасности. IAM Identity Center автоматически применяет эти разрешения к выбранным аккаунтам. После настройки IAM Identity Center позволяет легко применять наборы разрешений к соответствующим аккаунтам. Когда пользователи получают доступ к аккаунтам через пользовательский портал AWS, эти ограничения задают рамки действий пользователей в аккаунтах. Можно предоставить пользователям несколько наборов разрешений. Тогда при доступе к аккаунтам через пользовательский портал пользователи смогут выбрать, какой набор разрешений использовать для текущего сеанса.

Центр идентификации IAM обеспечивает поддержку API и AWS CloudFormation для автоматизации управления разрешениями в средах с несколькими аккаунтами, а также получения разрешений программными средствами в целях аудита и управления.

Для внедрения ABAC можно выбрать атрибуты из публичных удостоверений Центра идентификационных IAM для пользователей Центра идентификации IAM и пользователей, синхронизированных с Microsoft AD, или внешних поставщиков удостоверений SAML 2.0, включая Okta Universal Directory, Microsoft Entra ID (Azure AD), OneLogin и PingFederate. Если использовать внешнего поставщика удостоверений в качестве источника удостоверений, атрибуты можно опционально отправлять как часть утверждения SAML 2.0.

Данные для доступа к интерфейсу командной строки AWS можно получить для любых аккаунтов AWS и разрешений пользователя, назначенных администратором Центра идентификации IAM. Эти данные для доступа к CLI могут использоваться для программного доступа к аккаунту AWS.

Учетные данные для доступа к интерфейсу командной строки (CLI) AWS, полученные через Центр идентификации IAM, действительны в течение 60 минут. Новый набор данных для доступа можно запросить без ограничений, как только потребуется.

Доступ к бизнес-приложениям по технологии единого входа

Перейдите из консоли IAM Identity Center к панели приложений, выберите пункт Configure new application (Настроить новое приложение), а потом – одно из списка облачных приложений, заранее интегрированных с IAM Identity Center. Следуйте инструкциям на экране, чтобы настроить приложение. Как только приложение настроено, к нему можно предоставлять доступ. Выберите группы или пользователей, которым нужно предоставить доступ к приложению, а затем – пункт Assign Access (Предоставить доступ) для завершения процесса.

Да. Если приложение поддерживает SAML 2.0, его можно настроить как пользовательское приложение SAML 2.0. Перейдите из консоли IAM Identity Center к панели приложений, выберите пункт Configure new application (Настроить новое приложение), затем пункт Custom SAML 2.0 application (Специальное приложение SAML 2.0). Следуйте инструкциям, чтобы настроить приложение. Как только приложение настроено, к нему можно предоставлять доступ. Выберите группы или пользователей, которым нужно предоставить доступ к приложению, затем выберите пункт Assign Access (Предоставить доступ) для завершения процесса.

Нет. Центр идентификации IAM поддерживает только приложения на основе SAML 2.0.

Нет. IAM Identity Center поддерживает только технологию единого входа в бизнес-приложения через веб-браузеры.

Разное

IAM Identity Center сохраняет данные о назначении аккаунтов AWS и облачных приложений пользователям и группам, а также о том, какие разрешения предоставлены для доступа к аккаунтам AWS. IAM Identity Center создает роли IAM для каждого набора разрешений на доступ, созданного для пользователей, и управляет этими ролями в каждом аккаунте AWS.

С помощью IAM Identity Center вы также можете использовать возможности строгой аутентификации на основе стандартов для всех пользователей во всех источниках удостоверений. Если в качестве источника удостоверений вы используете поддерживаемого поставщика удостоверений на основе SAML 2.0, можно включить многофакторную аутентификацию, предоставляемую вашим поставщиком. Если вы используете Active Directory или IAM Identity Center в качестве источника идентификации, IAM Identity Center поддерживает спецификацию веб-аутентификации, что обеспечивает возможность защиты доступа пользователей к аккаунтам AWS и бизнес-приложениям с помощью ключей безопасности с поддержкой FIDO, например YubiKey, и встроенных средств биометрической аутентификации, например Touch ID на устройствах MacBook от Apple и распознавание лица на ПК. Вы также можете воспользоваться приложением для аутентификации, например Google Authenticator или Twilio Authy, чтобы включить использование одноразовых паролей (TOTP).

Вы также можете использовать существующую конфигурацию многофакторной аутентификации на базе удаленной аутентификации пользователей (RADIUS) в качестве второй формы подтверждения личности пользователей при входе в IAM Identity Center и Сервис каталогов AWS. Чтобы узнать больше о настройке многофакторной аутентификации в Центре идентификации IAM, ознакомьтесь с Руководством пользователя по Центру идентификации IAM.

Да. Для удостоверений пользователей из списка публичных удостоверений IAM Identity Center и Active Directory IAM Identity Center поддерживает спецификацию веб-аутентификации (WebAuthn), что обеспечивает возможность защиты доступа пользователей к аккаунтам AWS и бизнес-приложениям с помощью ключей безопасности с поддержкой FIDO, например YubiKey, и встроенных средств биометрической аутентификации, например Touch ID на устройствах MacBook от Apple и распознавание лица на ПК. Вы также можете воспользоваться приложением для аутентификации, например Google Authenticator или Twilio Authy, чтобы включить использование одноразовых паролей (TOTP).

Для начала работы с IAM Identity Center сотрудникам нужно перейти в портал доступа IAM Identity Center, который создается при настройке источника удостоверений в IAM Identity Center. Если вы управляете пользователями в IAM Identity Center, ваши сотрудники могут использовать адрес электронной почты и пароль, использованные при настройке IAM Identity Center, для входа в пользовательский портал. Если подключить Центр идентификации IAM к Microsoft Active Directory или поставщику удостоверений SAML 2.0, ваши сотрудники могут выполнить вход в пользовательский портал с имеющимися корпоративными учетными данными, а затем просмотреть доступные им аккаунты и приложения. Для доступа к аккаунту или приложению сотруднику необходимо выбрать соответствующий значок в пользовательском портале IAM Identity Center.

Да. Центр идентификации IAM предоставляет API назначения аккаунтов, чтобы помочь автоматизировать управление разрешениями в средах с несколькими аккаунтами, а также программными средствами получать разрешения в целях аудита и управления.